ISMS-P 인증심사원 인증 기준 풀이 편집하기
IT위키
편집을 취소할 수 있습니다. 이 편집을 되돌리려면 아래의 바뀐 내용을 확인한 후 게시해주세요.
최신판 | 당신의 편집 | ||
28번째 줄: | 28번째 줄: | ||
** 2.8.1에서 개발 보안 표준을 다루고 있으며, 개발 보안 표준에서 취약한 암호화 알고리즘이 명기되어 있다면 이는 2.8.1 결함이다. 마찬가지로 보안성 검토 기준이 법적 요구사항을 충족하지 못하는 경우에도 2.8.1 위반이 될 수 있다.<ref>코딩 표준의 암호화 알고리즘이 법적 요구사항을 충족하지 못하는 경우엔 2.8.1 결함이라고 안내서에 명확히 나와있다. 그 외에 보안성 검토 기준들이 법적 요구사항을 충족하지 못하는 경우엔 상황을 더 따져보아야 한다. (2.8.1에 따른 타당성 검토 및 인수 절차에 해당하는지, 유지관리의 문제는 아닌지 등)</ref> | ** 2.8.1에서 개발 보안 표준을 다루고 있으며, 개발 보안 표준에서 취약한 암호화 알고리즘이 명기되어 있다면 이는 2.8.1 결함이다. 마찬가지로 보안성 검토 기준이 법적 요구사항을 충족하지 못하는 경우에도 2.8.1 위반이 될 수 있다.<ref>코딩 표준의 암호화 알고리즘이 법적 요구사항을 충족하지 못하는 경우엔 2.8.1 결함이라고 안내서에 명확히 나와있다. 그 외에 보안성 검토 기준들이 법적 요구사항을 충족하지 못하는 경우엔 상황을 더 따져보아야 한다. (2.8.1에 따른 타당성 검토 및 인수 절차에 해당하는지, 유지관리의 문제는 아닌지 등)</ref> | ||
* [[ISMS-P 인증 기준 2.8.3.시험과 운영 환경 분리|'''2.8.3.시험과 운영 환경 분리''']] vs [[ISMS-P 인증 기준 2.8.5.소스 프로그램 관리|'''2.8.5.소스 프로그램 관리''']] vs [[ISMS-P 인증 기준 2.8.6.운영환경 이관|'''2.8.6.운영환경 이관''']] | * [[ISMS-P 인증 기준 2.8.3.시험과 운영 환경 분리|'''2.8.3.시험과 운영 환경 분리''']] vs [[ISMS-P 인증 기준 2.8.5.소스 프로그램 관리|'''2.8.5.소스 프로그램 관리''']] vs [[ISMS-P 인증 기준 2.8.6.운영환경 이관|'''2.8.6.운영환경 이관''']] | ||
** 세가지 인증기준에 모두 운영계에 소스코드가 존재하거나 | ** 세가지 인증기준에 모두 운영계에 소스코드가 존재하거나 운영계에서 소스코드가 다루어지는 것에 대한 내용이 있다. | ||
** 2.8.3의 경우 | ** 2.8.3의 경우 운영계에서 직접 개발을 하지 말라는 것이 주안점이며 | ||
** 2.8.5의 경우 | ** 2.8.5의 경우 운영계에서 소스코드를 보관 및 관리하지 말라는 것<ref>Java 등 응용 프로그램 개발 시엔 상황이 이해가 어려울 수 있으나, 웹 프로그램, 특히 컴파일이 없는 PHP 등의 개발 환경에서는 운영계에 소스코드가 존재할 수 밖에 없고, 가장 최신화된 소스가 운영계에 있는 소스이다. 소규모 조직의 경우 개발자 PC-운영계 소스코드만으로 소스코드 동기화, 관리 및 개발 반영이 이루어질 수 있는데, 이렇게 하지 말고 [[Git]]이든 [[SVN]]이든 별도 레파지토리를 운영하라는 것이다.</ref>이 주안점이고 | ||
** 2.8.6의 경우 | ** 2.8.6의 경우 운영계엔 운영에 필요한 파일 외에는 올리지 말라는 것이 주안점이다. | ||
== 제목으로 유추가 어려운 인증 기준 == | == 제목으로 유추가 어려운 인증 기준 == |